Cu un sql injection simplu m-am logat în interfata de administrare şi am scris o tâmpenie, pentru că la ora asta îmi e lene de orice altceva.
ps: am anunţat înainte să scriu, că vorba aia, suntem în trust…
update: s-a reparat, dar am gasit ceva si mai misto de la magazinul UltraPro
n-au magic quotes on ? lol si in admin au icon-uri din joomla
lol @ sql infection
si „F” nu e chiar langa „J” pe tastatura
urasc cuvantul „trust”……..
r@mtbb_
Nu e destul magic quotes on, de exemplu ‘ il poti inlocui cu %27
dude….sql injection I think…
Zoso –
Pagina e
Hihihi,
Chiar e vulnerabila… drop table anyone ?
neah. am discutat cu tipul si a zis ca pot face ce vreau cu el.
cu „EL”? sau cu site-ul?
cu site-ul nu mai ai ce sa faci..
deja i-ai facut de …rusine
mai participa si la internetics cu site-ul ala =))
voi nu va puneti intrebarea: cui ii pasa ?
Io zic ca situ lu Vanghelie e hackuit de pe la inceputul anului:
http://web.archive.org/web/20070120023218/http://www.vanghelie.ro/home.php?s=1
http://web.archive.org/web/20070213232002/http://www.vanghelie.ro/home.php?s=1
Din pacate astea sunt singurele pagini disponibile din 2007, dar in 2005 nu era inca hackuit: http://archive.org/web/*/http://www.vanghelie.ro/home.php?s=1
Heh…
Subiect de articol si exemplu 1 si exemplu 2.
Vezi ca e si Internetics p’acolo pe undeva.
Si in acelasi timp erai pe PornoRomania nu ? tot in lipsa de insipiratie :))
tabul ala e deschis de vreo 2 zile si n-am apucat sa citesc stirile de acolo
Aia de la upshop nu prea e exploit ci mai degraba bug in rewrite…
Adica ceva de genul…
RewriteRule ^produse/(.+)/(.+)/?$ http://www.ultrapro.ro/...
Oricum, tot ratati sunt
Nu e niciun hack pe upshop, doar cine nu se pricepe ar putea spune asta:)
fun
Dacă vrei, mai am şi de la Hipo.ro
Hehe, mai este cel putin un magazin online cat de cat cunoscut si un portal foarte mare de la noi la care poti baga javascript la cautare. Asa frumos executa codul.
Public service announcement : Noul director al Bancii Romanesti…
Plus, daca nu stiai, Ultrapro iti spune ca la Emag totul e mai ieftin.
Ia bagati si la mine, sa vedem daca gasiti ceva: http://www.shopit.ro
Iar daca imi gasiti bug-uri sau exploit-uri nasole ofer si recompensa
(serios)
weasel… incearca asta:
Pagina de trimis parola uitata trimite mail chiar daca nu specifici nici un mail…etc
Si cireasa de pe tort…
sau
faranume> nu văzusem că ai postat deja mesajul ăla!
weasel> se poate! Uite aici!
Tudor draga, eu am facut demonstratie ca se poate, nu era cazul sa merg mai departe.
Odata ce poti insera javascript poti face o tona de prostii.
Mai mult m-a interesat sa gasesc probleme cu sql-ul,am gasit, dar m-am gandit apoi ca habar n-am cine e weasel si daca site-ul asta e al lui si nu le-am scris.
Postasem găsisem exploitul mai devreme, dar am avut treabă şi am postat mai târziu mesajul. Oricum, UtraPro tot de la mine a plecat, la fel ca şi ăsta (acum rezolvat, foarte prompţi GreenPixel).
https://internetics.ro/pages/404
observati commentul
Uhm, pwned!
Am rezolvat… oricum, ideea era sa intri in admin, sa furi baza de date, sa imi afli nr. de vizitatori, adica chestii din astea mai „grele”
Sa zicem ca iti iesea un xss pana la urma si te logai pe contul unui client, tot cam degeaba era ca nu prea aveai ce sa faci… decat sa faci comenzi in numele lui, dupa care sunau cei de la vanzari pe om si alea zicea ca „nu el”, asa ca iti gaseam ip-ul si iti dadeam ban